在混合式憑證信任模型中設定及註冊 Windows Hello 企業版
本文說明 Windows Hello 企業版 適用的功能或案例:
- 部署類型:
- 信任類型:信任
- 聯結類型: Microsoft Entra 加入 、 Microsoft Entra 混合式加入
一旦符合必要條件,且已驗證 PKI 和 AD FS 組態,部署 Windows Hello 企業版 包含下列步驟:
設定 Windows Hello 企業版原則設定
在憑證信任模型中啟用 Windows Hello 企業版 需要兩個原則設定:
另一個選擇性但建議的原則設定如下:
使用下列指示,使用 Microsoft Intune 或組策略 (GPO) 來設定您的裝置。
您可以在 GPO 的電腦或使用者節點中設定 [使用 Windows Hello 企業版 原則] 設定:
- 部署計算機節點原則設定,會導致所有登入目標裝置的用戶嘗試註冊 Windows Hello 企業版
- 部署使用者節點原則設定,只會讓目標用戶嘗試註冊 Windows Hello 企業版
如果同時部署使用者和電腦原則設定,使用者原則設定具備優先權。
提示
使用相同的 Windows Hello 企業版 使用者安全組來指派證書範本許可權,以確保相同的成員可以註冊 Windows Hello 企業版 驗證憑證。
Windows Hello 企業版佈建會執行 Windows Hello 企業版驗證憑證的初始註冊。 此憑證會根據 Windows Hello 企業版 驗證證書範本中設定的持續時間到期。
只要使用者使用 Windows Hello 企業版 登入,此程式就不需要用戶互動。 過期之前,在背景中更新憑證。
若要使用組策略設定裝置,請使用本機 群組原則 編輯器。 若要設定多個已加入 Active Directory 的裝置,請 (GPO) 建立或編輯 組策略物件,並使用下列設定:
組策略路徑 | 組策略設定 | 值 |
---|---|---|
計算機設定\系統管理範本\Windows 元件\Windows Hello 企業版 or 用戶設定\系統管理範本\Windows 元件\Windows Hello 企業版 |
使用 Windows Hello 企業版 | 啟用 |
計算機設定\系統管理範本\Windows 元件\Windows Hello 企業版 or 用戶設定\系統管理範本\Windows 元件\Windows Hello 企業版 |
使用憑證進行內部部署驗證 | 啟用 |
計算機設定\Windows 設定\安全性設定\公鑰原則 or 用戶設定\Windows 設定\安全性設定\公鑰原則 |
憑證服務用戶端 - 自動註冊 | - 從組態模型中選取 [已啟用] - 選取 [更新過期的憑證]、更新擱置中的憑證,以及移除撤銷的憑證 - 選 取 [更新使用證書範本的憑證] |
計算機設定\系統管理範本\Windows 元件\Windows Hello 企業版 | 使用硬體安全性裝置 | 啟用 |
注意
啟用 [ 使用硬體安全性裝置 ] 原則設定是選擇性的,但建議使用。
組策略可以 連結 至網域或組織單位、 使用安全組進行篩選,或 使用WMI篩選器進行篩選。
提示
部署 Windows Hello 企業版 GPO 的最佳方式是使用安全組篩選。 只有目標安全組的成員會布建 Windows Hello 企業版,以啟用階段式推出。 此解決方案允許將 GPO 連結至網域,確保 GPO 的範圍限於所有安全性主體。 安全組篩選可確保只有全域群組的成員會接收並套用 GPO,這會導致布建 Windows Hello 企業版。
如果您使用 群組原則 和 Intune 部署 Windows Hello 企業版 組態,則 群組原則 設定優先,並忽略 Intune 設定。 如需原則衝突的詳細資訊,請參閱 來自多個原則來源的原則衝突
您可以設定更多原則設定來控制 Windows Hello 企業版 的行為。 如需詳細資訊,請參閱 Windows Hello 企業版 原則設定。
註冊 Windows Hello 企業版
Windows Hello 企業版 布建程式會在使用者配置檔載入之後,以及在使用者收到其桌面之前立即開始。 若要開始布建程式,必須通過所有必要條件檢查。
您可以檢視 Windows 中 [應用程式和服務>記錄] 底下的 [用戶裝置註冊管理員記錄],以判斷必要條件檢查的狀態Microsoft。>
您也可以從主控台使用 dsregcmd.exe /status
命令來取得這項資訊。 如需詳細資訊,請參閱 dsregcmd。
使用者體驗
使用者登入之後,Windows Hello 企業版 註冊程式會開始:
- 如果裝置支援生物特徵辨識驗證,系統會提示使用者設定生物特徵辨識手勢。 此手勢可用來解除鎖定裝置,並驗證需要 Windows Hello 企業版 的資源。 如果使用者不想設定生物特徵辨識手勢,則可以略過此步驟
- 系統會提示使用者搭配組織帳戶使用 Windows Hello。 用戶選取 [確定]
- 布建流程會繼續進行註冊的多重要素驗證部分。 布建會通知使用者,其正透過其設定的 MFA 形式主動嘗試連絡使用者。 在驗證成功、失敗或逾時之前,布建程式不會繼續。MFA 失敗或逾時會導致錯誤,並要求使用者重試
- MFA 成功後,佈建流程會要求使用者建立並驗證 PIN 碼。 此 PIN 必須觀察在裝置上設定的任何 PIN 複雜性原則
- 佈建餘下的工作包括 Windows Hello 企業版要求使用者的非對稱金鑰組,最好是向 TPM 要求 (如果已透過原則明確設定,則必須如此)。 取得金鑰組之後,Windows 會與 IdP 通訊以註冊公鑰。 密鑰註冊完成時,Windows Hello 企業版 布建會通知用戶他們可以使用其 PIN 登入。 用戶可以關閉布建應用程式並存取其桌面
金鑰註冊成功後,Windows 會使用相同的金鑰組建立憑證要求,以要求憑證。 Windows 會將憑證要求傳送至 AD FS 伺服器以進行憑證註冊。
AD FS 登錄授權單位檢查憑證要求中使用的金鑰是否符合先前註冊的金鑰。 確實符合時,AD FS 登錄授權單位會使用其註冊代理程式憑證簽署該憑證要求,並將其傳送至憑證授權單位。
注意
為了讓AD FS驗證憑證要求中使用的金鑰,它必須能夠存取 https://enterpriseregistration.windows.net
端點。
CA 會驗證憑證是否由註冊授權單位簽署。 驗證成功時,它會根據要求發出憑證,並將憑證傳回給 AD FS 註冊授權單位。 註冊授權單位會將憑證傳回 Windows,然後將憑證安裝在目前使用者的證書存儲中。 此程式完成後,Windows Hello 企業版 布建工作流程會通知用戶,他們可以使用 PIN 透過控制中心登入。
注意
Windows Server 2016 更新 KB4088889 (14393.2155) 會在混合式憑證信任佈建期間提供同步憑證註冊。 透過此更新,使用者不需要等待 Microsoft Entra Connect 在內部部署環境同步處理其公鑰。 使用者在布建期間註冊其憑證,而且可以在完成布建之後立即使用憑證進行登入。 更新必須安裝在同盟伺服器上。
時序圖
若要進一步瞭解布建流程,請根據裝置加入和驗證類型檢閱下列循序圖:
若要進一步了解驗證流程,請檢閱下列循序圖: